CVE-2026-26276

Nome do Software Vulnerável e Versões Afetadas Versões do Gogs anteriores a 0.14.2

Descrição O Gogs, um serviço Git autohospedado, é afetado por uma vulnerabilidade de Cross-Site Scripting (XSS) baseado em DOM. Um atacante pode injetar um payload HTML/JavaScript no nome da Milestone de um repositório. Quando outro usuário seleciona esta Milestone na página de Nova Issue (/issues/new), o script malicioso é executado, podendo levar ao roubo de informações, extração de token CSRF e operações não autorizadas no repositório. O escopo do impacto depende do nível de permissão da vítima. O parâmetro vulnerável é o nome da Milestone.

Recomendações Atualize para a versão 0.14.2 ou posterior.